身份鑒別協(xié)議培訓(xùn)資料

1、身份鑒別協(xié)議培訓(xùn)資料上章內(nèi)容回顧上章內(nèi)容回顧n密鑰管理簡(jiǎn)介密鑰管理簡(jiǎn)介n密鑰分配密鑰分配n密鑰協(xié)商密鑰協(xié)商nPKIPKI及數(shù)字證書簡(jiǎn)介及數(shù)字證書簡(jiǎn)介n秘密共享秘密共享2本章主要內(nèi)容本章主要內(nèi)容n身份鑒別的定義n口令認(rèn)證協(xié)議n挑戰(zhàn)應(yīng)答協(xié)議n對(duì)身份識(shí)別協(xié)議的攻擊和對(duì)策3身份鑒別的定義身份鑒別的定義n身份鑒別鑒別：又稱為身份識(shí)別、實(shí)體認(rèn)證。又稱為身份識(shí)別、實(shí)體認(rèn)證。它是這樣一個(gè)過(guò)程，即其中一方確信參與協(xié)它是這樣一個(gè)過(guò)程，即其中一方確信參與協(xié)議的第二方的身份，并確信第二方真正參與議的第二方的身份，并確信第二方真正參與了該過(guò)程。了該過(guò)程。n用戶的身份識(shí)別是許多應(yīng)用系統(tǒng)的用戶的身份識(shí)別是許多應(yīng)用系統(tǒng)的第一

2、道防線，其目的在于識(shí)別用戶的合法性，從而阻，其目的在于識(shí)別用戶的合法性，從而阻止非法用戶訪問(wèn)系統(tǒng)。身份識(shí)別（認(rèn)證）對(duì)止非法用戶訪問(wèn)系統(tǒng)。身份識(shí)別（認(rèn)證）對(duì)確保系統(tǒng)和數(shù)據(jù)的安全保密是極其重要的。確保系統(tǒng)和數(shù)據(jù)的安全保密是極其重要的。4身份鑒別的定義身份鑒別的定義Alice?BobEve?5身份鑒別的定義身份鑒別的定義n已知事物：口令、個(gè)人識(shí)別碼口令、個(gè)人識(shí)別碼(PIN)、挑戰(zhàn)、挑戰(zhàn)-響應(yīng)協(xié)議中已被證實(shí)的秘密或私鑰。響應(yīng)協(xié)議中已被證實(shí)的秘密或私鑰。n已擁有的事物：通常是物理配件。如，磁卡、通常是物理配件。如，磁卡、智能卡智能卡(或或IC卡卡)、口令生成器、口令生成器n固有事物(對(duì)某個(gè)人)：利用人類

3、物理特征和利用人類物理特征和無(wú)意行為。如，手寫簽名、指紋、聲音、視無(wú)意行為。如，手寫簽名、指紋、聲音、視網(wǎng)膜模式、手的幾何形狀等。（非密碼學(xué)的）網(wǎng)膜模式、手的幾何形狀等。（非密碼學(xué)的）6身份鑒別的定義身份鑒別的定義身份鑒別的定義：身份鑒別的定義：1、在誠(chéng)實(shí)的情況下，聲稱者、在誠(chéng)實(shí)的情況下，聲稱者A能向驗(yàn)證者能向驗(yàn)證者B證明他確實(shí)是他確實(shí)是A；2、在聲稱者、在聲稱者A向驗(yàn)證者向驗(yàn)證者B聲稱他的身份后，聲稱他的身份后，驗(yàn)證者驗(yàn)證者B不能獲得任何有用的信息，任何有用的信息，B也也不能模仿A向其他第三方證明他就是向其他第三方證明他就是A。3、任何不同于、任何不同于A的實(shí)體的實(shí)體C以以A的身份，讓的身份

4、，讓B相相信信C是是A的概率可忽略不計(jì)的概率可忽略不計(jì)7身份鑒別的定義身份鑒別的定義n用于實(shí)現(xiàn)身份識(shí)別的協(xié)議。n協(xié)議：是一系列步驟，它包括兩方和多方，設(shè)計(jì)它的目的是要完成一項(xiàng)任務(wù)。n協(xié)議是從開始到結(jié)束的一個(gè)協(xié)議是從開始到結(jié)束的一個(gè)序列，每步必須依，每步必須依次執(zhí)行次執(zhí)行n完成協(xié)議完成協(xié)議至少需要兩個(gè)人n協(xié)議的協(xié)議的目的是為了做一些事情是為了做一些事情8身份鑒別的定義身份鑒別的定義分析和評(píng)價(jià)身份認(rèn)證協(xié)議應(yīng)考慮如下幾個(gè)方面：（1）交互性：是單方還是雙方的身份認(rèn)證；是單方還是雙方的身份認(rèn)證；（2）計(jì)算的有效性；（3）通信的有效性；（4）是否需要第三方的實(shí)時(shí)參與；（5）對(duì)第三方的可信度的要求；（6）安

5、全保證（可證明安全、零知識(shí)證明）；（7）用來(lái)存儲(chǔ)共享秘密數(shù)據(jù)的地方和方法。9身份鑒別的定義身份鑒別的定義Passwords（weak authentication）：系統(tǒng)檢查口令是否與系統(tǒng)擁有的相應(yīng)用戶數(shù)據(jù)相匹配，批準(zhǔn)聲明的身份訪問(wèn)資源n用戶ID是聲稱的身份n口令是支持聲稱的證據(jù)：固定口令、PIN和通行密鑰Challenge-response identification（strong authentication）：通過(guò)向驗(yàn)證者展示與證明者實(shí)體有關(guān)的秘密知識(shí)來(lái)證明自己的身份，但在協(xié)議中并沒有向驗(yàn)證者泄露秘密本身。身份鑒別技術(shù)分類身份鑒別技術(shù)分類10口令認(rèn)證協(xié)議口令認(rèn)證協(xié)議固定口令n1）存儲(chǔ)的

6、口令文件n以明文形式將用戶口令存儲(chǔ)在系統(tǒng)口令文件中n口令文件需讀保護(hù)和寫保護(hù)n2）“加密的”口令文件n存儲(chǔ)口令的單向函數(shù)值n口令文件需寫保護(hù)IDA,PWPassWordPWAB檢查口令和身份竊聽？存儲(chǔ)安全？11口令認(rèn)證協(xié)議口令認(rèn)證協(xié)議n服務(wù)器端的字典攻擊：在這種攻擊中，Eve只對(duì)找到口令有興趣，并不關(guān)心用戶的ID。例如，如果口令是六位數(shù)， Eve可以創(chuàng)建一個(gè)六位數(shù)(000000999999)的列表，然后對(duì)每一個(gè)數(shù)使用散列函數(shù)，結(jié)果就是一個(gè)一百萬(wàn)個(gè)散列的列表。她就可以得到口令檔案并搜索條目中的第二列，找出一個(gè)與之相匹配的。這可以被編程并且在Eve的個(gè)人計(jì)算機(jī)上脫機(jī)運(yùn)行。找到匹配以后，伊夫就可以再

7、上線，用口令來(lái)訪問(wèn)系統(tǒng)。 12口令認(rèn)證協(xié)議口令認(rèn)證協(xié)議3）口令加鹽(Salting Passwords)n第一環(huán)節(jié)：口令字段字符串的生成：s = Agen(Dsalt, Dpw) 給口令Dpw撒鹽：Dpw = Asalt (Dsalt，Dpw)； 用撒鹽結(jié)果做密鑰：K = Dpw； 用一個(gè)64位的全0位串構(gòu)造一個(gè)數(shù)據(jù)塊Dp； 設(shè)循環(huán)次數(shù)：i = 0； 對(duì)數(shù)據(jù)塊加密：Dc = Acrypt(K, Dp)； Dp = Dc，i = i + 1； 如果i B: rB A - B: hK(rB, A)n雙向認(rèn)證29挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n使用手持通行碼生成器的實(shí)現(xiàn)A是用戶的私鑰是用

8、戶的私鑰;f是單向函數(shù)是單向函數(shù);302）使用公鑰技術(shù)的挑戰(zhàn)-應(yīng)答聲稱者證明他知道私鑰的方式有兩種：n聲稱者解密用它的公鑰加密的挑戰(zhàn)n聲稱者數(shù)字簽署一個(gè)挑戰(zhàn)挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議31挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n單向認(rèn)證：n雙向認(rèn)證：r為隨機(jī)數(shù)為隨機(jī)數(shù)r1, r2為隨機(jī)數(shù)為隨機(jī)數(shù)基于公鑰加密的挑戰(zhàn)基于公鑰加密的挑戰(zhàn)-響應(yīng)響應(yīng)32挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n帶時(shí)戳的單向認(rèn)證：n帶隨機(jī)數(shù)的單向認(rèn)證：n帶隨機(jī)數(shù)的雙向認(rèn)證：certA,certB為公鑰證書為公鑰證書;SA,SB為私鑰為私鑰;基于數(shù)字簽名的挑戰(zhàn)基于數(shù)字簽名的挑戰(zhàn)-響應(yīng)響應(yīng)33挑戰(zhàn)挑戰(zhàn)-應(yīng)

9、答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議3）基于零知識(shí)證明的挑戰(zhàn)-應(yīng)答n零知識(shí)零知識(shí)(Zero-knowledge)(ZK)證明的起源證明的起源Alice：我知道肯德基的土豆泥的配方以及做法。我知道肯德基的土豆泥的配方以及做法。Bob：不，你不知道。不，你不知道。Alice：我知道。我知道。Bob：你不知道。你不知道。Alice：我確實(shí)知道！我確實(shí)知道！Bob：請(qǐng)你證實(shí)這一點(diǎn)！請(qǐng)你證實(shí)這一點(diǎn)！Alice：好吧，我告訴你?。ㄋ那牡卣f(shuō)出了土豆泥的秘方）好吧，我告訴你?。ㄋ那牡卣f(shuō)出了土豆泥的秘方）Bob：太有趣了！現(xiàn)在我也知道了。我要告訴華盛頓郵報(bào)太有趣了！現(xiàn)在我也知道了。我要告訴華盛頓郵報(bào)Alice：啊

10、呀！啊呀！34挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n不幸的是，不幸的是，Alice用常用的方法給用常用的方法給Bob證明她知道的秘證明她知道的秘密。這樣一來(lái)，密。這樣一來(lái)，Bob也知道了這些秘密了，現(xiàn)在也知道了這些秘密了，現(xiàn)在Bob要告訴其他人，要告訴其他人，Alice對(duì)此毫無(wú)辦法。對(duì)此毫無(wú)辦法。n問(wèn)題：有沒有一種有效的辦法，讓有沒有一種有效的辦法，讓Alice能向能向Bob證明證明她知道這些秘密，使得她知道這些秘密，使得Bob可以確信可以確信Alice的確知道這的確知道這些，但些，但Bob根本不能獲得這些秘密的任何信息呢？根本不能獲得這些秘密的任何信息呢？35挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議

11、應(yīng)答身份鑒別協(xié)議n零知識(shí)證明的思想零知識(shí)證明的思想Alice要向Bob證明她知道某些秘密：nBob：?jiǎn)枺簡(jiǎn)朅lice一系列問(wèn)題一系列問(wèn)題nAlice：若知道那個(gè)秘密，她就能正確回答所有：若知道那個(gè)秘密，她就能正確回答所有問(wèn)題。如果她不知道，她仍有問(wèn)題。如果她不知道，她仍有50的機(jī)會(huì)回答的機(jī)會(huì)回答每一個(gè)問(wèn)題。但要猜對(duì)每個(gè)問(wèn)題的機(jī)會(huì)實(shí)在太每一個(gè)問(wèn)題。但要猜對(duì)每個(gè)問(wèn)題的機(jī)會(huì)實(shí)在太小了（幾乎不可能）。小了（幾乎不可能）。n大約大約10個(gè)問(wèn)題之后個(gè)問(wèn)題之后nBob確信確信Alice是否知道那個(gè)秘密。然而所有回是否知道那個(gè)秘密。然而所有回答都沒有給答都沒有給Bob提供提供Alice所知道的所知道的秘密的任

12、何秘密的任何信息。信息。36挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議ABC D37挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議(1)Bob站在 A 點(diǎn)；(2)Alice進(jìn)入洞中任一點(diǎn) C 或 D；(3)當(dāng)Alice進(jìn)洞之后，Bob走到 B 點(diǎn)；(4)Bob叫Alice：(a)從左邊出來(lái)，或(b)從右邊出來(lái)；(5)Alice按要求實(shí)現(xiàn)(以咒語(yǔ)，即解數(shù)學(xué)難題幫助)；(6)Alice和Bob重復(fù)執(zhí)行 (1)(5)共n次。38挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n若 Alice 不知咒語(yǔ)，則在 B 點(diǎn)，只有50 %的機(jī)會(huì)猜中 Bob的要求，協(xié)議執(zhí)行 n 次，則只有 2-n 的機(jī)會(huì)完全猜中，若 n

13、=16，則若每次均通過(guò) Bob 的檢驗(yàn)，B受騙機(jī)會(huì)僅為1/65536。n如果Bob用攝像機(jī)記錄下他所看到的一切，他把錄像給Carol看，Carol會(huì)相信這是真的嗎？Carol是不會(huì)相信這是真的。n這說(shuō)明了兩件事情：其一，Bob不可能使第三方相信這個(gè)證明；其二，它證明了這個(gè)協(xié)議是零知識(shí)的。Bob在不知道咒語(yǔ)的情況下，顯然不能從錄像中獲悉任何信息。39挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n零知識(shí)(Zero-knowledge)(ZK)證明:是一種是一種交互式證明系統(tǒng)系統(tǒng)n聲稱者（證明者）和驗(yàn)證者聲稱者（證明者）和驗(yàn)證者交換多個(gè)信息，這，這些信息的生成些信息的生成依賴于保密的隨機(jī)數(shù)n證明者P(

14、Prover)：知道某一秘密知道某一秘密s，使，使V相信自相信自己掌握這一秘密；己掌握這一秘密；n驗(yàn)證者V(Verifier)：驗(yàn)證驗(yàn)證P掌握秘密掌握秘密sn每輪每輪V向向P發(fā)出一詢問(wèn)，發(fā)出一詢問(wèn)，P向向V作應(yīng)答（需要有作應(yīng)答（需要有s的知的知識(shí)才能正確應(yīng)答）。識(shí)才能正確應(yīng)答）。nV檢查檢查P是否每一輪都能正確應(yīng)答。是否每一輪都能正確應(yīng)答。40挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n交互證明與數(shù)學(xué)證明的區(qū)別n數(shù)學(xué)證明：證明者可自己證明者可自己獨(dú)立完成證明完成證明(絕對(duì))n交互證明：由由P產(chǎn)生證明產(chǎn)生證明(響應(yīng)響應(yīng))，V驗(yàn)證證明驗(yàn)證證明(響應(yīng)）的有響應(yīng)）的有效性效性（概率上）來(lái)實(shí)現(xiàn)，雙方之間

15、要有通信來(lái)實(shí)現(xiàn)，雙方之間要有通信n交互系統(tǒng)應(yīng)滿足交互系統(tǒng)應(yīng)滿足n完備性：如果：如果P知道某一秘密，知道某一秘密，V將接收將接收P的證明的證明n正確性：如果如果P能以一定的概率使能以一定的概率使V相信相信P的證明，則的證明，則P知道知道相應(yīng)的秘密（冒充者偽造成功的概率可忽略不計(jì)）相應(yīng)的秘密（冒充者偽造成功的概率可忽略不計(jì)）41挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nNeedham-Schroeder協(xié)議：是基于對(duì)稱密鑰加密的挑戰(zhàn)-響應(yīng)n計(jì)算模n平方根的困難性nFiat-Shamir身份識(shí)別協(xié)議nFiege-Fiat-Shamir身份識(shí)別協(xié)議n離散對(duì)數(shù)的困難性：Schnorr協(xié)議42挑戰(zhàn)挑戰(zhàn)-

16、應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議2. 4. )|(|1AsKBsKIDKERIDKEBAKDCAB1. IDA| IDB |R13. |AsKIDKEB2RESK5. )(2RfESK如果敵手獲得了舊會(huì)話密鑰，如果敵手獲得了舊會(huì)話密鑰，則可以冒充則可以冒充A A重放重放3 3，并且可，并且可回答回答5 5，成功的欺騙，成功的欺騙B BKs為隨機(jī)會(huì)話密鑰為隨機(jī)會(huì)話密鑰1 NeedhamSchroeder協(xié)議協(xié)議43挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議2. 4. )|(|TIDKETIDKEAsKBsKBAKDCAB1. IDA| IDB3. |TIDKEAsKB1NESK5. )(1NfE

17、SK以時(shí)戳替代隨機(jī)數(shù)，用以向A，B保證Ks的新鮮性|ClockT|t1+t2 Clock:本地時(shí)鐘t1：本地時(shí)鐘與KDC時(shí)鐘誤差估計(jì)值t2 ：網(wǎng)絡(luò)延遲時(shí)間要求各方時(shí)鐘同步要求各方時(shí)鐘同步如果發(fā)方時(shí)鐘超前如果發(fā)方時(shí)鐘超前B B方時(shí)鐘，可能導(dǎo)致等方時(shí)鐘，可能導(dǎo)致等待重放攻擊待重放攻擊NeedhamSchroeder改進(jìn)協(xié)議（改進(jìn)協(xié)議（1）44挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議KDCAB3. 1. AANID |4. |BKBSAKNETKIDESB2. |BAAKBBTNIDENIDBBBSAKBSABKNTKIDETKNIDEBA|會(huì)話密鑰的截止時(shí)間NeedhamSchroeder改進(jìn)協(xié)

18、議（改進(jìn)協(xié)議（2）45挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n如果 A 保留由協(xié)議得到的票據(jù)，就可以在有效期內(nèi)可不通過(guò)KDC直接認(rèn)證AB,|1ABSAKNTKIDEB、,2AKBNENS、3BKNES、B B在第一步收到票據(jù)后，可以通過(guò)在第一步收到票據(jù)后，可以通過(guò)BT檢驗(yàn)票據(jù)是否過(guò)時(shí)檢驗(yàn)票據(jù)是否過(guò)時(shí)，而新產(chǎn)生的一次隨機(jī)數(shù)新產(chǎn)生的一次隨機(jī)數(shù)則向雙方保證了沒有重放攻擊。則向雙方保證了沒有重放攻擊。BANN ,46挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議參數(shù)的選擇：n可信中心可信中心T選擇兩個(gè)素?cái)?shù)選擇兩個(gè)素?cái)?shù)p和和q(保密，最好用保密，最好用完丟棄完丟棄)，計(jì)算類似，計(jì)算類似RSA的模數(shù)的模數(shù)

19、m=pq、并、并公開公開m。n證明者選擇與證明者選擇與m互素的私鑰互素的私鑰s(1sm)，計(jì)，計(jì)算算v=s2 mod mn證明者在可信中心證明者在可信中心T中注冊(cè)公鑰中注冊(cè)公鑰v2 Fiat-Shamir身份識(shí)別協(xié)議身份識(shí)別協(xié)議47挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議協(xié)議執(zhí)行：迭代t輪(連續(xù)地、獨(dú)立地)(1) Alice 取隨機(jī)數(shù) r(m)，計(jì)算x= r2 mod m，并發(fā)送給Bob；(2) Bob將一隨機(jī)比特e=0或1作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計(jì)算響應(yīng)值y并發(fā)給Bobn若e=0，則Alice 將y=r送給Bob；n若e=1，則Alice將y=rs mod m送給Bob

20、；(4) 若y=0，則Bob拒絕證明；反之，驗(yàn)證y2xve mod m？n若e=0，則Bob 證實(shí)y2 =x mod mn若e=1，則 Bob 證實(shí) y2 =xv mod m 若t輪都成功，則Bob就接收Alice的身份Fiat-Shamir身份識(shí)別協(xié)議身份識(shí)別協(xié)議48挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n完備性n如果Alice和Bob遵守協(xié)議，且Alice知道s，則響應(yīng)值 y2=(rse)2 mod m xve mod m，Bob接收Alice的證明，所以協(xié)議是完備的。n正確性nAlice不知道s，他也可取r，送y2 =r2 mod m給Bob；Bob送e 給Alice；Alice將r

21、作為響應(yīng)值；當(dāng)b=0時(shí)則Alice可通過(guò)檢驗(yàn)使得Bob受騙，當(dāng)b=1時(shí)，則Bob可發(fā)現(xiàn)Alice不知s。Bob受騙概率為1/2，但連續(xù)t輪受騙的概率將僅為2-tnBob無(wú)法知道Alice的秘密(s)，因?yàn)閟沒有被傳送過(guò)，且Bob只能隨機(jī)選取一個(gè)比特位作為挑戰(zhàn)。49挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議參數(shù)的選擇：n可信中心可信中心T選擇兩個(gè)素?cái)?shù)選擇兩個(gè)素?cái)?shù)p和和q(保密，最好用完丟棄保密，最好用完丟棄)，計(jì)，計(jì)算類似算類似RSA的模數(shù)的模數(shù)n=pq、并公開、并公開n。n證明者選擇證明者選擇k個(gè)與個(gè)與n互素的隨機(jī)整數(shù)作為私鑰互素的隨機(jī)整數(shù)作為私鑰s1, s2, ,sk(1sin)n證明者選擇

22、證明者選擇k個(gè)隨機(jī)比特個(gè)隨機(jī)比特b1, b2, , bk(1ik)，計(jì)算，計(jì)算vi=(-1)bi (si2)-1 mod n (1ik)n證明者在可信中心證明者在可信中心T中注冊(cè)公鑰中注冊(cè)公鑰 (v1, v2 , vk; n)3 Fiege-Fiat-Shamir身份識(shí)別協(xié)議身份識(shí)別協(xié)議50挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議協(xié)議執(zhí)行：迭代t輪(連續(xù)地、獨(dú)立地)(1) Alice 取隨機(jī)數(shù) r(n)和一個(gè)隨機(jī)比特b，計(jì)算x=(-1)br2 mod n，并發(fā)送給Bob；(2) Bob將一隨機(jī)比特序列(e1,ek),ei0,1 作為挑戰(zhàn)發(fā)給 Alice；(3) Alice計(jì)算響應(yīng)值y并發(fā)給B

23、ob:(4) Bob計(jì)算 ，并驗(yàn)證z=x和z0 若t輪都成功，則Bob就接收Alice的身份Fiege-Fiat-Shamir身份識(shí)別協(xié)議身份識(shí)別協(xié)議51挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nShnorr 身份認(rèn)證協(xié)議融合了ELGamal協(xié)議、Fiat-Shamir協(xié)議、和Chaum-Evertse-Van de Graff交互協(xié)議等協(xié)議的思想，是一種計(jì)算量、通信量均少，特別適合智能卡上用戶身份識(shí)別的方案。n其安全性建立在計(jì)算離散對(duì)數(shù)問(wèn)題的困難性上。4 Shnorr 身份認(rèn)證協(xié)議身份認(rèn)證協(xié)議52挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nShnorr 身份認(rèn)證協(xié)議需要一個(gè)可信中心 TA。

24、 TA為協(xié)議選擇下列參數(shù)： (1)p 及及 q 是兩個(gè)大素?cái)?shù)，且是兩個(gè)大素?cái)?shù)，且 q|(p-1);的生成元。）為，階元（如可取為pqppggqZZ)2(/ )1(* (3)選擇安全參數(shù)選擇安全參數(shù)t53挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議n每個(gè)用戶自己選定個(gè)人秘鑰s，并計(jì)算公鑰v。其中n每位用戶必須到TA 注冊(cè)其公開密鑰v。 TA 驗(yàn)明用戶身份后，對(duì)每位用戶指定一識(shí)別名I。I中包括用戶的姓名、性別、生日、職業(yè)、 號(hào)碼、指紋信息等識(shí)別信息。 TA 對(duì)(I,v)的簽名為ST(I,v)。n在身份認(rèn)證過(guò)程中，不需要 TA 介入。pvqssmod,1, 1 54挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒

25、別協(xié)議n證明者A向驗(yàn)證者B證明他身份（Schnorr 認(rèn)證協(xié)議）),(,(1ATAvISvI、AB用用 TA 的數(shù)字簽名來(lái)驗(yàn)證的數(shù)字簽名來(lái)驗(yàn)證 A 的公開密鑰的公開密鑰pZr*任選pXrmod2、2, 1 te任選整數(shù)3、eqserymod4、pvXeymod. 5驗(yàn)證55挑戰(zhàn)挑戰(zhàn)-應(yīng)答身份鑒別協(xié)議應(yīng)答身份鑒別協(xié)議nSchnorr 協(xié)議的安全的基礎(chǔ)是離散對(duì)數(shù)計(jì)算困難性。n從v求s就是求離散對(duì)數(shù)，在計(jì)算上是不可行的。nr 和s都是用戶的秘密，假冒者 Eve 是無(wú)法從 y 中得到用戶的秘密，當(dāng)然也就無(wú)法假冒證明者A。pvqssmod,1, 1 56身份鑒別與數(shù)字簽名身份鑒別與數(shù)字簽名n身份識(shí)別方案可轉(zhuǎn)換為數(shù)字簽名方案n數(shù)字簽名：n包含可變的消息摘要n通常提供不可抵賴性，以允許事后法官來(lái)解決爭(zhēng)端n簽署的消息通常是可公開驗(yàn)證的n身份識(shí)別：n消息的語(yǔ)義基本固定（在當(dāng)前時(shí)刻及時(shí)地聲稱身份）n聲稱可以立即確證或拒絕，從而實(shí)時(shí)保證或解除相關(guān)的特權(quán)或訪問(wèn)n僅通信雙方可以驗(yàn)證對(duì)方身份57轉(zhuǎn)換為簽名方案轉(zhuǎn)換為簽名方案n利用H(x|m)代替驗(yàn)證者的